Apple maakt paspoortverificatie via NFC mogelijk op iPhone
Apple heeft de NFC-functie op de iPhone voor app-ontwikkelaars opengesteld, zodat het nu mogelijk is om de RFID-chip op paspoorten en identiteitsbewijzen via NFC uit te lezen. Dat maakt het Nederlandse InnoValor bekend. Het softwarebedrijf is aanbieder van ReadID.
ReadID wordt gebruikt voor het uitlezen en verifiëren van de RFID-chip in paspoorten en identiteitskaarten. Het is al jaren beschikbaar voor Android, maar niet voor iOS. De NFC-functie op iOS-apparaten was namelijk nooit beschikbaar voor app-ontwikkelaars. Staatssecretaris Knops van Binnenlandse Zaken stelde vorig jaar nog dat Apple de NFC-functie moest openstellen, om zo de betrouwbaarheid van DigiD te verhogen.
DigiD Substantieel en DigiD Hoog vereisen het eenmalig respectievelijk telkens uitlezen van de chip van een identiteitsdocument. Dit kan met de NFC-functie in tablets en smartphones of NFC-lezers verbonden aan computers. Het uitlezen van identiteitsdocumenten is nu al mogelijk met een aan een computer verbonden kaartlezer en met Android-toestellen die over een NFC-functie beschikken.
"Bij apparatuur voorzien van het iOS besturingssysteem (Apple) kan dit vooralsnog niet. Apple heeft de benodigde functionaliteit binnen de NFC voor deze toepassing niet toereikend opengezet. Ik acht het van wezenlijk belang dat alle gebruikers van gangbare mobiele apparaten de mogelijkheid tot het gebruik van de meer betrouwbare inlogmiddelen krijgen. Daarom is het zeer wenselijk dat Apple afdoende toegang verleent tot de NFC-functie op zijn toestellen", aldus Knops destijds.
Niet veel later volgde de Britse overheid met een zelfde oproep. De Britse overheid ontwikkelde samen met InnoValor een app die het eenvoudig voor EU-burgers moet maken om na de Brexit in Groot-Brittannië te blijven. Gebruikers moeten drie vragen beantwoorden, een foto van zichzelf maken en dan de chip op hun paspoort scannen om hun identiteit te bevestigen. Voor mensen met een iPhone is het niet mogelijk om het paspoort te scannen.
In april van dit jaar meldde de Britse minister van Binnenlandse Zaken dat Apple de benodigde veranderingen zou gaan doorvoeren, zodat de overheids-app voor het einde van dit jaar op iPhones en iPads werkt. Tijdens de Worldwide Developer Conference deze week maakte Apple bekend dat het de NFC-functie inderdaad openstelt. "Deze aankondiging houdt in dat ReadID via de interne NFC-functie nu ook op iPhones werkt", aldus InnoValor.
Het bedrijf heeft nu een gesloten bètaversie van ReadID NFC voor iOS beschikbaar gemaakt. In juli of augustus wordt een open bètatest verwacht en begin september zou de uiteindelijke versie moeten verschijnen. Het bedrijf geeft aan grote belangstelling voor ReadID voor iOS te verwachten.
In theorie, ja. De technologie die ze daar nu voor gebruiken zal daar niet geschikt voor zijn, maar dat is geen beletsel.
Verwacht hier overigens niet te veel van. Wat in de eerste schil staat van de RFID-chip komt in wezen neer op een fotokopie (of scan) van het paspoort zelf.
Een ander steeds terugkerend probleem is het beveiligen van dergelijke kopieën door middel van een watermerk. Dit verdient wat uitleg.
Artikel 33 WWFT verplicht financiële instellingen om vast te leggen:
- Aard, nummer en datum + plaats van uitgifte van het ID (Lid 2a2).
en
- Of volledige NAW gegevens plus geboortedatum van de persoon.
- Of een kopie van het ID bewijs met minimaal het BSN er op (beide opties Lid2a1).
Dat verhindert dus volledige uitvoering van de richtlijnen "Kopie ID" van het Ministerie van Binnenlandse Zaken (tenzij men kiest voor de volledige NAW gegevens, maar dat betekent wel dat je fysiek naar kantoor moet komen om het ID te laten zien). Het geeft strikt genomen echter geen uitsluitsel over het plaatsen van een watermerk (mits de gegevens maar leesbaar blijven). Het toenmalige CBP heeft wel eens aangegeven dat een kopie mag (logisch, artikel 33 WWFT Lid2a1), maar dat was omstreeks 2004 en ik weet niet zeker of zijn het woord 'watermerk' daar hebben genoemd. Alle reden dus om druk te zetten op het hele systeem om een watermerk te gaan gebruiken/verplichten tegen ID-fraude. Het maakt daarbij niet uit of het strikt om een kopie, scan of uitlezen van de chip gaat.
Elk kopietje van een Id is geen bewijs dat het om de juiste persoon bij de opdracht gaat. Watermerk of niet maakt niet uit. Enkel een biometrische koppeling biedt enig houvast.
Dat het ap het bsn ziet als bewijs van de juiste persoon is onwettelijk. Dat er enkel op techniek gezocht wordt zonder een link naar de persoon schiet niet op.
Het probleem dat opgelost moet worden is die koppeling persoon ?=? juiste administratie.
Elk kopietje van een Id is geen bewijs dat het om de juiste persoon bij de opdracht gaat. Watermerk of niet maakt niet uit. Enkel een biometrische koppeling biedt enig houvast.
Dat het ap het bsn ziet als bewijs van de juiste persoon is onwettelijk. Dat er enkel op techniek gezocht wordt zonder een link naar de persoon schiet niet op.
Het probleem dat opgelost moet worden is die koppeling persoon ?=? juiste administratie.
Biometrie is helaas, ondanks dat het in tweederangs films goed werkt, zo onbetrouwbaar als de pieten, en mist ook failsafe. De sterkste authenticatiemethode die bekend is, is een twee-factor authenticatie met behulp van smartcard in combinatie met public-private key technologie. Deze kan gestolen worden, maar is uiterst moeilijk te kopiëren en voor de rechthebbende op eenvoudige wijze te vervangen als dat toch gebeurt. Ik zou er enorme voorstander van zijn voor kritisch zakendoen met financiële instellingen en overheid. Maar voor een schaal van heel Nederland is het wel een dure oplossing.
BSN is voor bankfraude in Nederland een non-issue. Waarom? Omdat krachtens artikel 33 WWFT je eenvoudig geen bankzaken kan doen met alleen een naam en een BSN, frauduleus of anderszins. Buitenlandse financiële instellingen hebben geen idee wat een BSN is en zullen het vermoedelijk ook niet accpteren. Blijft over uitkeringsfraude, maar dat is een discussie voor een ander moment.
Helemaal geen kopie ID zou nog prettiger zijn, maar dan moet artikel 33 WWFT veranderd worden. Zo lang de situatie zo is als die is, moet het dan maar met een ter plekke geplaatst watermerk. Nu is de situatie dat de dwaasheid begaan wordt een volledig onbeveiligde kopie van een zwaar beveiligd document klaar voor frauderen op te slaan, en dat is de ergst mogelijke situatie.
Het is iets ingewikkelder dan dat. Niet veel en niet genoeg, maar wel iets.
Je paspoortchip is in twee lagen beveiligd. Laag 1 bevat, zoals gezegd, wat neerkomt op een kopie of scan van je paspoort. Laag 2 heeft de vingerafdrukken.
De toegangscode van laag 1 is je paspoortnummer, je geboortedatum en de verloopdatum van je paspoort. In totaal:
- 3 Letters
- 7 Cijfers
- Getal tussen 1 en 31
- Getal tussen 1 en 12
- 19 of 20.
- Getal tussen 00 en 99.
- Getal tussen 1 en 31
- Getal tussen 1 en 12
- 20
- Getal tussen vandaag (jaar) -10 en vandaag (jaar) +10, nu dus tussen 09 en 29.
Totaal een getal van 20 cijfers aan mogelijke combinaties (kan je minder maken als je meer van een persoon weet). Een typische thuislaptop of smartphone kan alle mogelijke combinaties in minder dan 5 minuten proberen. Maar de 5 seconden dat je naast iemand staat is ook weer niet helemaal waar.
Wat Apple hier vermoedelijk doet is simpel: De sleutel staat op je paspoort. Dus als je die voor de camera houdt, heeft de app de sleutel, kan die laag 1 van de chip openmaken.
Laag 2 is een ander verhaal. Die is beveiligd met een public key en kan alleen met een private key weer opengemaakt worden. Alle mogelijke combinaties proberen is zelfs voor alle computers van de wereld (en die nog moeten worden uitgevonden) in geen duizend jaar te doen. Die private key is in handen van de overheid en is bij mijn beste weten nog niet uitgelekt. Het onderling delen van de sleutels vinden zelfs overheden te eng in verband met datalekken, dat is de reden dat de vingerafdrukken niet gebruikt worden. Dat gaat 'm dus niet worden.
Overigens maak ik me niet zo veel zorgen over een dame naast me in de bus. Dat kan, maar ze kan maar in een bus tegelijk zijn. Veel leuker is om in de databases van de kopietjes paspoort van de drie grote banken te komen, dan heb je in een klap meer dan 10 miljoen kopietjes om mee te spelen en je hoeft er niet eens voor uit je luie stoel in Verweggistan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
